Gli amministratori di sistema Linux devono affrontare molte sfide e una di quelle in corso riguarda gli account utente. L'onboarding, l'offboarding, la gestione delle password, la disabilitazione degli account, l'abilitazione degli account, la conservazione dei contenuti della home directory e la correzione delle autorizzazioni sono attività che devono essere eseguite ma sono anche noiose da eseguire. Questo articolo fornisce una soluzione rapida per la gestione degli account utente sui sistemi locali. Certo, ci sono Active Directory, LDAP e NIS+, ma cosa succede se sei come molti di noi che non li usano? Devi fare affidamento su metodi nativi per gestire il lavoro.
Che ci crediate o no, sono necessari solo pochi comandi per gestire la maggior parte delle attività di gestione degli utenti. Ad esempio, usi il passwd comando per impostare e modificare le password, ma viene anche utilizzato per controllare lo stato di un account utente, far scadere una password, impostare la durata minima e massima della password, disabilitare un account utente e abilitare un account utente.
Creazione di account utente
Il useradd command è il tuo amico della riga di comando per la creazione di account utente. Un veloce man useradd ti offre tutte le opzioni che potresti desiderare. In genere utilizzo solo un'opzione, che è -c (commento), per inserire il nome completo dell'utente. È possibile impostare facoltativamente la password e altri parametri, ma non lo faccio perché ogni account è diverso. Creo l'account, imposto la password, imposto qualsiasi altra opzione, quindi contatto l'utente per informarlo che il suo account è pronto.
La sintassi è semplice:
$ useradd -c "User's Full Name" account_name
$ sudo useradd -c "Mary Jones" mjones$
passwd mjones
Changing password for user mjones.
New password:
Retype new password:
passwd: all authentication tokens updated successfully. Se utilizzi password generiche per nuovi utenti facili da digitare, riceverai un messaggio che ti avverte che la tua password non soddisfa i requisiti standard. Poiché sei l'utente root, puoi ignorare questo errore, ma gli utenti normali non possono:
$ passwd mjones
Changing password for user mjones.
New password:
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word
Retype new password:
passwd: all authentication tokens updated successfully.
Questo è tutto ciò che serve per creare un nuovo account utente e assegnargli una password. Dai un'occhiata ad alcuni passwd command magic nella prossima sezione.
Scoprire il versatile passwd comando
Come affermato in precedenza, il passwd command fa molto di più che cambiare semplicemente le password. È uno dei comandi Linux più versatili disponibili. Ecco una manciata di utili esempi di cosa passwd può fare per la gestione degli utenti.
Per controllare lo stato di un account utente, utilizza questo formato.
$ passwd -S account_name Esempio:
$ sudo passwd -S msmith
msmith PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
Il PS significa che la password per l'utente msmith è impostato, ma puoi anche vederlo dal messaggio visualizzato. Versioni precedenti di passwd non usava gli stessi simboli. Ad esempio, la lettera P è stato utilizzato da solo per il set di password . La data mostrata è l'ultima volta che è stata modificata la password o quando è stata impostata.
Se una password è scaduta, vedrai il seguente messaggio:
$ sudo passwd -S djones
djones PS 1969-12-31 0 99999 7 -1 (Password set, SHA512 crypt.) Puoi vedere che la password ora ha l'ultima volta modificata del 31-12-1969. Se conosci la cronologia di Linux o UNIX, riconoscerai che l'inizio del mondo informatico risale al 1970-01-01, quindi l'impostazione dell'ultima ora modificata al di fuori dell'epoca fa scadere la password.
La creazione di un nuovo account utente senza modificare la password dell'account comporta il seguente stato della password:
$ sudo passwd -S smithm
smithm LK 2019-11-11 0 99999 7 -1 (Password locked.)
Il LK designazione significa che l'account è bloccato, come mostra il messaggio. Ancora una volta, prima di questa ultima versione di passwd comando, quel messaggio non esisteva. Infatti, se usi man passwd , vedrai anche le vecchie designazioni:L , NP e P .
Per far scadere una password:
$ sudo passwd -e msmith
Expiring password for user msmith.
passwd: Success
Un controllo dello stato verifica la password scaduta per msmith :
$ sudo passwd -S msmith
msmith PS 1969-12-31 0 99999 7 -1 (Password set, SHA512 crypt.) Una volta che una password è scaduta, per policy o manualmente, non puoi annullarla. Il sistema chiederà all'utente di modificare le password al prossimo accesso.
Inoltre, non puoi sbloccare un account senza password impostata. Se crei un nuovo account utente e non imposti la password, l'account è bloccato. Per sbloccarlo, devi impostare una password.
Puoi bloccare l'account di un utente utilizzando il passwd -l del comando opzione:
$ sudo passwd -S mjones
mjones PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
$ sudo passwd -l mjones
Locking password for user mjones.
passwd: Success
$ sudo passwd -S mjones
mjones LK 2019-11-11 0 99999 7 -1 (Password locked.)
Per sbloccare l'account, usa il passwd -u del comando opzione:
$ sudo passwd -u mjones
Unlocking password for user mjones.
passwd: Success
$ sudo passwd -S mjones
mjones PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
Utilizza i seguenti flag per impostare la durata minima della password (-n ), durata massima della password (-x ), avviso prima della scadenza (-w ) e da inattivo a disabilitato (-i ) in giorni per ciascuno. L'ordine delle opzioni non ha importanza:
$ sudo passwd -n 1 -x 90 -w 3 -i 10 djones
Adjusting aging data for user djones.
passwd: Success
$ sudo passwd -S djones
djones PS 2020-12-31 1 90 3 10 (Password set, SHA512 crypt.)
È bene impostare -n almeno un giorno perché ciò impedisce a un utente di modificare ripetutamente le proprie password.
Spero che tu abbia un nuovo apprezzamento per il passwd comando. Se l'hai usato solo per cambiare le password, hai perso molte funzionalità e potenza.
[Cerchi di più? Potresti anche essere interessato al cheat sheet degli utenti Linux e delle autorizzazioni.]
Rimozione degli account utente
La rimozione degli account utente è un argomento un po' delicato. Il motivo per cui è un argomento delicato è che la rimozione di un account utente è permanente. Una volta rimosso, non c'è più. In genere, la norma nelle aziende consiste nel disabilitare l'account per un periodo di tempo, copiare la home directory dell'utente in un luogo sicuro per l'archiviazione e, dopo il tempo di attesa, rimuovere l'account.
Quando rimuovo un account utente da un sistema, tutte le tracce scompaiono. L'account viene rimosso da /etc/passwd e anche la directory home viene rimossa. Per apportare questa modifica radicale, utilizzo userdel comando con -r opzione nel formato:
$ userdel -r account_name Esempio:
$ sudo userdel -r djones
In tipico stile UNIX e Linux, non c'è alcuna finestra di dialogo che ti dica che l'account e tutte le tracce dell'utente sono ora cancellate dal sistema. Dopo il userdel comando viene completato, si torna a un prompt.
Conclusione
La gestione dell'account utente è solo una delle tante gioie dell'essere un amministratore di sistema. Può consumare un bel po' di tempo nelle imprese più impegnate. Tuttavia, in ambienti più piccoli, potresti presto dimenticare tutto il passwd opzioni di comando e decidere di rimuovere gli account manualmente.
Ti consiglio di mantenere questo articolo tra i preferiti e di non tentare di rimuovere gli account manualmente. È probabile che dimentichi qualcosa lungo la strada. C'è anche la possibilità che tu ingrassi un comando o due e rimuova più di quanto avevi pianificato di rimuovere. Il passwd file e il relativo /etc/shadow sono troppo importanti per lasciare la loro modifica al caso, non importa quanto sei sicuro dell'efficienza della tua tastiera.
Da asporto: useradd , userdel , passwd
[Vuoi provare Red Hat Enterprise Linux? Scaricalo ora gratuitamente.]